Com complir amb el Reglament General de Protecció de Dades Personals

Com vam anunciar a un article anterior , el Reglament (UE)2016/679 de 27.4.2016 -conegut com GDPR en anglès o RGPD en català o castellà- s’aplica directament a tota la Unió Europea des del 25 de maig de 2018, i l’han de complir  totes les persones físiques o jurídiques que exerceixen activitats professionals o empresarials, i totes les demés entitats privades o públiques, així com totes les administracions que tractin dades de persones residents a la Unió Europea. El Congrés dels Diputats està tramitant actualment una nova llei orgànica de protecció de dades personals per adaptar al Reglament la normativa de l’estat espanyol.

Una dada personal  és qualsevol informació sobre una persona física identificada, o que pugui ser identificable, és a dir, de la qual podem conèixer la identitat de forma directa o indirecta mitjançant algun identificador, «com per exemple un nom, un número d’identificació, dades de localització, un identificador en línia, un o varis elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d’aquesta persona.» (art. 4.1 del RGPD) Les dades personals corresponen únicament a les persones físiques vives, però les dades de les persones difuntes també poden estar protegides perquè hagin deixat ordenat als hereus o a les empreses de gestió de serveis electrònics que siguin suprimides o bloquejades.
Les persones jurídiques (societats, entitats, administracions) no tenen «protecció de dades personals» però els seus representants, col·laboradors, empleats i ex empleats sí les tenen, i haurem de tenir cura de no emprar aquestes dades fora de l’estricte context de la nostra relació amb la persona jurídica per a la qual treballen, i únicament mentre estiguin vinculats a aquella persona jurídica.
 
Novetats del RGPD 
Com altres professionals, les i els arquitectes que exerceixin professionalment, així com llurs societats professionals, han de complir amb el RGPD, i tenir molt presents els seus principis, més fàcils de complir que els de la LOPD perquè s’eliminen formalitats com haver de registrar els fitxers a l'Agència de Protecció de Dades, però més restrictius perquè els drets estan protegits de forma més intensa i severa. com veureu  tot seguit:
1.- Només podem recollir les dades que siguin estrictament necessàries per a la finalitat per a la qual les volem emprar, i hem d’informar a les persones a les quals demanem les dades -o de les quals ja les tenim,-d’aquesta intenció de recollir/conservar/emprar/cedir les dades per una determinada finalitat, especificant la mateixa. Per tant als documents -tant en paper com electrònics o formularis web- a on demanem dades, hem d’especificar aquests extrems. Naturalment, hem de mantenir les dades actualitzades i guardades de forma segura tal i com ja exigia la LOPD, i no podrem emprar-les per cap altra finalitat diferent de la que li hem indicat al seu titular si abans no li tornem a demanar autorització explicant-li aquesta nova finalitat. Un cop les dades han deixat de ser necessàries per a la finalitat per els quals les vam recollir, haurem de destruir-les, i si no podem destruir-les perquè una norma legal ens ho impedeix per exemple la legislació fiscal que obliga a conservar les factures, o el termini de garantia establert a la LOE – les haurem de bloquejar, que és bàsicament, deixar-les guardades de forma segura, i no emprar-les per res si no és perquè ens les demana legítimament una autoritat administrativa o judicial, o perquè hi tenim un interès legítim (per exemple, defensar-nos d’una demanda).
 2.- Només podem tenir i tractar dades personals si les hem aconseguit i les tractem de forma lícita; és a dir:
  • Quan la persona titular de les dades en les facilita voluntàriament i de forma expressa i inequívoca, és a dir, quan hi ha cosnentiment en el sentit legal de la paraula segons el RGPD, doncs no és legal interpretar el consentiment per omissió (p. ex. la fòrmula “ si no ens diu el contrari...” no es pot emprar) 
  • Quan les dades siguin imprescindibles per complir amb un contracte o altra relació jurídica que ens vincula amb aquella persona. Per exemple, si hem de fer el tràmit de visat per compte del client, haurem de transmetre al col·legi professional les dades personals del client que siguin necessàries per al tràmit del visat.
  • Quan emprar les dades està emparat per un interès legítim, és a dir, reconegut per la llei: per exemple, no caldrà el consentiment dels nostres empleats per passar al nostre gestor les dades necessàries perquè ens gestioni el pagament de nòmines, Seguretat Social i retencions d’IRPF, si bé els empleats tenen dret a saber a quí passem les dades; o no caldrà el consentiment dels clients i treballadors per instal.lar càmeres de videovigilància, però haurem d'informar-los sobre aquest fet d'acord amb els prescripcions de l'àgència Espanyola de Protecció de Dades. 
3.- Si encarreguem un determinat servei que implica haver de cedir dades que gestionem al prestador del servei perquè aquest faci la feina que li encarreguem  -per exemple gestoria, enviament de publicitat en paper o electrònica, reclamar honoraris, serveis d’emmagatzematge o còpies de seguretat al núvol- d'acord amb el RGPD aquest rpestador del servei serà jurídicament un "encarregat de tractament", i ens haurem d’assegurar al màxim que compleix amb el RGPD, doncs serem responsables davant dels titulars de les dades si no ho fa. A més, en cap cas podrem encarregar-ho a algú que  estigui ubicat en un país fora de l’Espai Econòmic Europeu si no te un nivell de protecció de dades personals equiparable al de la Unió Europea, o acceptat per aquesta ( per exemple, una empresa americana hauria almenys d’estar a la llista de Privacy Shield, que és aconsellable consultar prèviament.
Per aquesta responsabilitat que assumim en confiar a tercers dades de les quals en som responsables davant de llurs titulars, sempre hem de demanar als nostres proveïdors de serveis el document que contingui la seva política de privacitat, o mirar-la al seu web, al qual és obligatori que hi consti, i adoptar determinades precaucions quan contractem amb ells.
4.- És molt important que els proveïdors que gestionen dades de les quals en som resposnables es comprometin a comunicar-nos de forma immediata qualsevol atac o problema que hagin patit i que pugui provocar una filtració, pèrdua o atac a les dades de tercers que els hi hem confiat, ja que nosaltres haurem de  portar registre d’aquests incidents i comunicar-los a l’Agència de Protecció de Dades en un màxim de 72 hores, i també als interessats si l'incident pot pertorbar seriosament els seus drets.
 
Drets de les persones titulars de dades personals: obligació d’informar-los i d’obtenir llur consentiment de forma inequívoca.
Les persones de les quals recollim o tenim dades, tenen un seguit de drets que han de poder exercir de forma ràpida i efectiva, i així els ho hem de facilitar: tant als formularis de recollides de dades, com als contractes, com al nostre web, els hem d’informar d’aquests drets i els hem d’indicar com i a on exercir-los, així que hi farem constar:
  • Dades completes del responsable del tractament de les dades personals , del seu representant (per exemple en una societat) i en el seu cas, del delegat de protecció de dades si n’hi ha.  En general,  com a professionals de l’arquitectura no estem legalment obligats a designar un delegat de protecció de dades (DPO) , perquè aquest només és exigible quan es tracten a gran escala certes categories de dades personals, o bé quan es fa una observació habitual i sistemàtica de dades a gran escala, supòsits que en el dia a dia dels arquitectes no es donen.
  • Finalitat del tractament: en principi el més normal és que sigui la prestació de serveis contractats, la resposta a peticions d'informació  i l'enviament de notícies i  ofertes de serveis.
  • Legitimació per al tractament: normalment serà una o totes d'aquestes causes: consentiment del titular de les dades; interès legítim o relació contractual.
  • Temps de conservació: indicar el temps de conservació de les dades o la forma de determinar-lo; pot ser fins a l'acabament de la relació contractual, o fins a la revocació del consentiment, sense perjudici que normes de rang legal obliguin a conservar-les més temps (per exemple la conservació de documentació fiscal o de projectes a efectes de responsabilitat LOE) 
  • Cessions o comunicacions  de les dades a tercers: cal indicar si, apart les cessions obligatòries per llei, cedim o comuniquem les dades a tercers, per exemple gestoria o empreses d'enviaments de màrqueting o llistes de correu o gestors de correus massius com Mailchimp. Si entre les persones o entitats a qui cedim les dades hi ha qui estan localitzats fora de la Unió Europea, cal que ho indiquem expressament.
  • Dret a sol·licitar l’accés a les dades, la rectificació o la supressió de les dades, la limitació del tractament, l’oposició al tractament i la portabilitat de les dades, o a retirar en qualsevol moment el consentiment que s'ha prestat.
  • Si la comunicació de dades és un requisit legal o contractual o un requisit necessari per subscriure un contracte, i si l’interessat està obligat a facilitar les dades i les conseqüències de no facilitar-les (per exemple: si un client no em dona o no vol que tracti les seves dades fiscals no podré complir amb el seu encàrrec)
  • El dret a presentar una reclamació davant una autoritat de control, funció competència de l’Autoritat Catalana de Protecció de Dades pel que fa a les administracions i entitats públiques catalanes, i de l’Agència Espanyola de Protecció de Dades per la resta.
  • Aclarir en el seu cas si existeixen decisions automatitzades, inclosa l’elaboració de perfils, i la informació sobre la lògica aplicada i les seves conseqüències. Normalment no n'hi han en el cas dels professionals de l'arquitectura.
 
Guia ràpida per complir amb el RGDP
1.- Als professionals i pimes ens serà molt útil l'eina FACILITA, de l'Agència Espanyola de Protecció de dades , amb la qual, de forma totalment autònoma i privada, podrem generar ràpidament els models de clàusules informatives , de contractes, de registre d'activitat de tractament i de mesures de seguretat que necessitem per la nostra activitat professional. La llista i els detalls dels fitxers de dades que ja teníem registrats a l’Agència de Protecció de Dades, ens serà molt pràctica per poder fer el registre de tractament de dades personals.
2.- Hem d'actualitzar la informació sobre protecció de dades o política de privacitat que tinguem al nostre web, bàsicament pel que fa als drets de les persones afectades. A l’apartat anterior, relatiu als drets de les persones titulars de dades personals, hi trobareu els punts sobre els que hem d’informar. Recordem a més que al nostre web hem de complir amb la Llei de la Societat dels Serveis de la Informació i del Comerç Electrònic, i per tant caldrà que al web hi constin a més les següents dades:
  •  Col·legi o col·legis professionals als quals pertanyen els professionals de col·legiació obligatòria que presten els serveis que s’ofereixen a través del web i número de col·legiat de cadascú.
  • Títol professional i estat al qual es va expedir aquest. Si es tracta de títols estrangers, cal fer-hi constar a més la referència a la corresponent Ordre ministerial d’homologació o reconeixement per part de l’estat espanyol.
  •  Normes aplicables a l’exercici de la professió. Per la professió d’arquitecte: les podeu facilitar senzillament mitjançant un enllaç a l’apartat del web del COAC destinat a finestreta única. 
3.- És fonamental que abans d’enviar cap comunicació o de cedir a tercers  cap dada de les que tenim o tractem, ens assegurem que tenim el consentiment inequívoc de les persones titulars d’aquestes dades, o bé ens assegurem que tenim un interès legítim que ens autoritza a tenir-les o tractar-les.
Igualment, hem d'assegurar-nos que tothom a qui enviem comunicacions que no facin referència a una relació contractual existent que estem executant (clients proveïdors, empleats)  ens hagi donat inequívocament el consentiment per rebre-les, i si no ha estat així, els hem de demanar i obtenir aquest consentiment, sense que sigui vàlid ni presuposar que el consentiment se'ns dona si no se'ns diu res - al contrari, això équival a denegació- i sense que poguem premarcar caselles si el consentiment el demanem a través d'un formulari.
4.- Per assegurar-nos que totes les persones de les quals tenim/tractem/cedim dades ho saben i hi estan d'acord, i alhora queden informades de com complim amb les prescripcions del RGPD i de com poden exercitar llurs drets, és aconsellable que enviem un correu electrònic o paper als nostres contactes, per explicar-los la nostra activitat en matèria de protecció de dades i  per demanar-los si volen renovar el consentiment per continuar rebent comunicacions nostres, en el benentès que si no ens responen o si ens responen que no, no podrem enviar res a aquestes persones, llevat naturalment que ho fem per exercitar un dret legítim nostre, com per exemple la reclamació d’honoraris pendents.
5.- La protecció de les dades personals és una obligació continuada, que hem de tenir present des del moment en què ens plantegem qualsevol activitat que comporti recollir dades , tractar-les o cedir-les, i que hem d'anar complint en el nostre dia a dia, revisant de forma regular aquest compliment. 
 
Recursos en línia útils per complir amb el RGPD i millorar la ciberseguretat de la nostra empresa

 

Versió per a imprimirPDF version